《内部审计安全认证和评估》由会员分享,可在线阅读,更多相关《内部审计安全认证和评估(90页珍藏版)》请在金锄头文库上搜索。
1、安全认证和评估安全认证和评估20.1 风险管理风险管理20.2 安全成熟度模型安全成熟度模型20.3 威胁威胁20.4 安全评估方法安全评估方法20.5 安全评估准则安全评估准则20.6 本章小结本章小结习题习题针对内部和外部的攻击所采用的安全体系结构的能力针对内部和外部的攻击所采用的安全体系结构的能力需要认证和评估。技术在不断变化,新的应用正在开需要认证和评估。技术在不断变化,新的应用正在开发,新的平台正在加到非军事区(发,新的平台正在加到非军事区(DMZ),额外的),额外的端口正在加进防火墙。由于竞争,很多应用在市场的端口正在加进防火墙。由于竞争,很多应用在市场的生存时间越来越短,软件开发
2、生命周期中的测试和质生存时间越来越短,软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的量保证正在忽略。很多大的组织甚至没有一个完全的目录,将计算机、网络设备以及在网络上的各个应用目录,将计算机、网络设备以及在网络上的各个应用编制进去,而只是将这些组件独自地进行配置。由于编制进去,而只是将这些组件独自地进行配置。由于没有将安全测试作为软件质量保证的一个组成部分,没有将安全测试作为软件质量保证的一个组成部分,应用的漏洞(脆弱性)不断发生。应用的漏洞(脆弱性)不断发生。安全评估认证安全体系结构是否能满足安全策略和最安全评估认证安全体系结构是否能满足安全策略和最好的经营业务实
3、际。一个典型的安全评估问题是它经好的经营业务实际。一个典型的安全评估问题是它经常没有用于对经营业务的影响的评析。这里引入一个常没有用于对经营业务的影响的评析。这里引入一个概念,称为安全成熟度模型(概念,称为安全成熟度模型(Security Maturity Model, SMM),用来适当地测量一个给定的准则,该用来适当地测量一个给定的准则,该准则基于在工业界最佳的经营业务实际,且能将其反准则基于在工业界最佳的经营业务实际,且能将其反馈到经营业务。它还提供一个改进的方法,包括将不馈到经营业务。它还提供一个改进的方法,包括将不足之处列成清单。安全成熟度模型可测量企业安全体足之处列成清单。安全成熟
4、度模型可测量企业安全体系结构的系结构的3个不同部分:计划、技术与配置、操作运个不同部分:计划、技术与配置、操作运行过程。行过程。从经营业务的观点看,要求安全解决方案的性能价格从经营业务的观点看,要求安全解决方案的性能价格比最好,即基于特定产业的最佳实际。在任何系统中比最好,即基于特定产业的最佳实际。在任何系统中的安全控制应预防经营业务的风险。然而,决定哪些的安全控制应预防经营业务的风险。然而,决定哪些安全控制是合适的以及性能价格比好的这一过程经常安全控制是合适的以及性能价格比好的这一过程经常是复杂的,有时甚至是主观的。安全风险分析的最主是复杂的,有时甚至是主观的。安全风险分析的最主要功能是将这
5、个过程置于更为客观的基础上。要功能是将这个过程置于更为客观的基础上。风险管理是识别、评估和减少风险的过程。一个组织风险管理是识别、评估和减少风险的过程。一个组织有很多个体负责对给定应用接受给定风险。这些个体有很多个体负责对给定应用接受给定风险。这些个体包括总经理、包括总经理、CFO(Chief Financial Officer, 首席财首席财务执行官)、经营业务部门的负责人,以及信息所有务执行官)、经营业务部门的负责人,以及信息所有者。者。一个组织的总的风险依赖于下面一些属性:一个组织的总的风险依赖于下面一些属性:资产的质量(丢失资产的效应)和数量(钱)的价值;资产的质量(丢失资产的效应)和
6、数量(钱)的价值;基于攻击的威胁可能性;基于攻击的威胁可能性;假如威胁实现,对经营业务的影响。假如威胁实现,对经营业务的影响。20.1 风险管理风险管理单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式将资产价值和代价相联系或决定投资回报(将资产价值和代价相联系或决定投资回报(Return On Investment, ROI)的能力经常是困难的。相反,)的能力经常是困难的。相反,可以确定保护机制的代价。将国家秘密的信息作为极可以确定保护机制的代价。将国家秘密的信息作为极敏感的信息,因为对这些信息的错误处理,其结果将敏感的信息,因为对这些信息的
7、错误处理,其结果将危害到国家秘密。比之于商业组织,政府愿意花更多危害到国家秘密。比之于商业组织,政府愿意花更多的费用来保护信息。的费用来保护信息。直接的定量花费包括更换损坏的设备、恢复后备和硬直接的定量花费包括更换损坏的设备、恢复后备和硬盘的费用等。由于事故而引起的宕机时间是可测量的,盘的费用等。由于事故而引起的宕机时间是可测量的,很多金融贸易系统因此而遭受大量经济损失。生产的很多金融贸易系统因此而遭受大量经济损失。生产的降低,例如降低,例如E-mail服务器宕机,很多组织的工作将停服务器宕机,很多组织的工作将停止。止。与定量的代价相比,质量的代价对组织的破坏更大。与定量的代价相比,质量的代价
8、对组织的破坏更大。假如用来销售的假如用来销售的Web站点被黑客破坏了,有可能所有站点被黑客破坏了,有可能所有客户的信用卡号被偷,这将严重地影响这个站点的信客户的信用卡号被偷,这将严重地影响这个站点的信誉。也有可能在短时期内,经营业务停止。誉。也有可能在短时期内,经营业务停止。风险评估对漏洞和威胁的可能性进行检查,并考虑事风险评估对漏洞和威胁的可能性进行检查,并考虑事故造成的可能影响。威胁的水平决定于攻击者的动机、故造成的可能影响。威胁的水平决定于攻击者的动机、知识和能力。大部分内部人员不大可能使用黑客工具,知识和能力。大部分内部人员不大可能使用黑客工具,然而十分熟悉网上的应用,可以删除文件、引
9、起某些然而十分熟悉网上的应用,可以删除文件、引起某些物理损坏,甚至是逻辑炸弹等。物理损坏,甚至是逻辑炸弹等。漏洞水平和保护组织资产的安全体系结构的能力正相漏洞水平和保护组织资产的安全体系结构的能力正相反。如果安全控制弱,那么暴露的水平高,随之发生反。如果安全控制弱,那么暴露的水平高,随之发生事故灾难的机率也大。对数据、资源的漏洞及其利用事故灾难的机率也大。对数据、资源的漏洞及其利用的可能性取决于以下属性,且很难预测:资产的价值、的可能性取决于以下属性,且很难预测:资产的价值、对对手的吸引力、技术的变更、网络和处理器的速度、对对手的吸引力、技术的变更、网络和处理器的速度、软件的缺陷等。软件的缺陷
10、等。描述威胁和漏洞最好的方法是根据对经营业务的影响描述威胁和漏洞最好的方法是根据对经营业务的影响描述。此外,对特殊风险的评估影响还和不确定性相描述。此外,对特殊风险的评估影响还和不确定性相联系,也依赖于暴露的水平。所有这些因素对正确地联系,也依赖于暴露的水平。所有这些因素对正确地预测具有很大的不确定性,因此安全的计划和认证是预测具有很大的不确定性,因此安全的计划和认证是十分困难的。图十分困难的。图20.1表示了风险评估的方法。表示了风险评估的方法。图图20.1 风险评估方法风险评估方法成熟度模型可用来测量组织的解决方案(软件、硬件成熟度模型可用来测量组织的解决方案(软件、硬件和系统)的能力和效
11、力。因此它可用于安全评估,以和系统)的能力和效力。因此它可用于安全评估,以测量针对业界最佳实际的安全体系结构。可以就以下测量针对业界最佳实际的安全体系结构。可以就以下3个方面进行分析:计划、技术和配置、操作运行过个方面进行分析:计划、技术和配置、操作运行过程。程。20.2 安全成熟度模型安全成熟度模型安全计划包括安全策略、标准、指南以及安全需求。安全计划包括安全策略、标准、指南以及安全需求。技术和配置的成熟度水平根据选择的特定产品、准则,技术和配置的成熟度水平根据选择的特定产品、准则,在组织内的安置以及产品配置而定。操作运行过程包在组织内的安置以及产品配置而定。操作运行过程包括变更管理、报警和
12、监控,以及安全教育方面。美国括变更管理、报警和监控,以及安全教育方面。美国Carnegie Mellon大学的软件工程研究所(大学的软件工程研究所(Software Engineering Insititue,SEI)制定了系统安全工程能力)制定了系统安全工程能力成熟度模型(成熟度模型(System Security Engineering Capability Maturity Model, SSE-CMM)。它将安全)。它将安全成熟度能力级别分成成熟度能力级别分成4级,以适应不同级别的安全体级,以适应不同级别的安全体系结构,如表系结构,如表20-1所示。所示。表表20-1 安全成熟度能力级
13、别安全成熟度能力级别安全成熟度能力级别说明无效力(50%)总的安全体系结构没有遵从企业安全策略、法规,以及最佳经营实际。需要改进(65%)安全体系结构中无效力的应少于35%合适(85%)企业的安全计划、布署、配置和过程控制使安全体系结构能满足总的目标。极好(超过100%)安全体系结构超过了总的目标及需求。1. 安全计划安全计划一个好的安全体系结构必须建立在一个坚固的安全计一个好的安全体系结构必须建立在一个坚固的安全计划基础之上。计划的文本必须清晰、完整。很多组织划基础之上。计划的文本必须清晰、完整。很多组织的安全策略、标准和指南存在以下一些问题:的安全策略、标准和指南存在以下一些问题:(1)
14、内容太旧,已过时,不适用于当前的应用。安内容太旧,已过时,不适用于当前的应用。安全策略应每年更新,以适应技术的变化。全策略应每年更新,以适应技术的变化。(2) 文本有很多用户,如开发者、风险管理者、审文本有很多用户,如开发者、风险管理者、审计人员,所用语言又适用于多种解释。如果陈述太抽计人员,所用语言又适用于多种解释。如果陈述太抽象,那么实施时将无效力。象,那么实施时将无效力。(3) 表达不够详细。很多组织的安全策略观念只是表达不够详细。很多组织的安全策略观念只是一个口令管理。组织安全策略文本中通常缺少信息的一个口令管理。组织安全策略文本中通常缺少信息的等级分类以及访问控制计划文本。等级分类以
15、及访问控制计划文本。(4) 用户需要知道有关安全的文本。如果用户不能用户需要知道有关安全的文本。如果用户不能方便地获得和阅读文本,就会无意地犯规,然而难以方便地获得和阅读文本,就会无意地犯规,然而难以追查责任。追查责任。2. 技术和配置技术和配置当今,市场上有很多安全厂商和安全产品,但是没有当今,市场上有很多安全厂商和安全产品,但是没有一个产品能提供完全的安全解决方案。诸如防火墙、一个产品能提供完全的安全解决方案。诸如防火墙、IDS、VPN、鉴别服务器等产品都只是解决有限的问、鉴别服务器等产品都只是解决有限的问题。安全专业人员应能适当地选择产品,正确地将它题。安全专业人员应能适当地选择产品,正
16、确地将它们安置在基础设施中,合适地配置和支持。然而,他们安置在基础设施中,合适地配置和支持。然而,他们经常会不正确地采购安全产品,例如,有人认为只们经常会不正确地采购安全产品,例如,有人认为只要在需要保护的有价值的资产前放置一个防火墙,就要在需要保护的有价值的资产前放置一个防火墙,就什么问题都能解决。从网络的观点看部分正确,但防什么问题都能解决。从网络的观点看部分正确,但防火墙不提供应用和平台的保护,也不提供有用的入侵火墙不提供应用和平台的保护,也不提供有用的入侵检测信息。检测信息。安全产品的合适配置也是一个挑战。有时产品的默认安全产品的合适配置也是一个挑战。有时产品的默认配置是拒绝所有访问,
17、只有清晰的允许规则能通过通配置是拒绝所有访问,只有清晰的允许规则能通过通信。安全产品配置的最大挑战是需要有熟练的专业人信。安全产品配置的最大挑战是需要有熟练的专业人员来配置和管理。员来配置和管理。3. 运行过程运行过程运行过程包括安全组件需要的必要支持和维护、变更运行过程包括安全组件需要的必要支持和维护、变更管理、经营业务的连续性、用户安全意识培训、安全管理、经营业务的连续性、用户安全意识培训、安全管理,以及安全报警与监控。安全基础设施组件的支管理,以及安全报警与监控。安全基础设施组件的支持和维护类似于主机和应用服务器所需的支持。允许持和维护类似于主机和应用服务器所需的支持。允许的变更管理要有
18、能退回到目前工作版本的设施,并且的变更管理要有能退回到目前工作版本的设施,并且要和经营业务连续性计划协调一致。要和经营业务连续性计划协调一致。安全设备会产生一些不规则的日志信息,这对管理员安全设备会产生一些不规则的日志信息,这对管理员来说是复杂的,一旦配置有差错,就会阻止访问网络、来说是复杂的,一旦配置有差错,就会阻止访问网络、应用或平台。对各种人员的培训是任何安全体系结构应用或平台。对各种人员的培训是任何安全体系结构成功的关键。最后,识别安全事故的能力且按照一个成功的关键。最后,识别安全事故的能力且按照一个逐步升级的过程来恢复是最重要的。逐步升级的过程来恢复是最重要的。技术变化十分迅速,对从
19、事于安全事业的人员增加了技术变化十分迅速,对从事于安全事业的人员增加了很多困难,因此选择高水平的人员从事该项工作是必很多困难,因此选择高水平的人员从事该项工作是必须的。特别是,从事安全培训的专业人员是有效信息须的。特别是,从事安全培训的专业人员是有效信息安全程序的关键,要使用各种有效媒体进行安全培训安全程序的关键,要使用各种有效媒体进行安全培训课程。每个企业员工都要接受安全培训,要对不同的课程。每个企业员工都要接受安全培训,要对不同的人员(例如安全管理员、最终用户、数据拥有者)有人员(例如安全管理员、最终用户、数据拥有者)有针对性地进行培训。针对性地进行培训。在第在第2章中讲到,风险是构成安全
20、基础的基本观念。章中讲到,风险是构成安全基础的基本观念。风险是丢失需要保护的资产的可能性。测定风险的两风险是丢失需要保护的资产的可能性。测定风险的两个组成部分是漏洞和威胁。漏洞是攻击可能的途径,个组成部分是漏洞和威胁。漏洞是攻击可能的途径,威胁是一个可能破坏信息系统安全环境的动作或事件。威胁是一个可能破坏信息系统安全环境的动作或事件。威胁包含威胁包含3个组成部分:个组成部分:(1) 目标,可能受到攻击的方面。目标,可能受到攻击的方面。(2) 代理,发出威胁的人或组织。代理,发出威胁的人或组织。(3) 事件,做出威胁的动作类型。作为威胁的代理,事件,做出威胁的动作类型。作为威胁的代理,必须要有访
21、问目标的能力,有关于目标的信息类型和必须要有访问目标的能力,有关于目标的信息类型和级别的知识,还要有对目标发出威胁的理由。级别的知识,还要有对目标发出威胁的理由。20.3 威胁威胁本章从安全的验证和评估出发,具体分析各种威胁源、本章从安全的验证和评估出发,具体分析各种威胁源、威胁是如何得逞的以及针对这些威胁的对策。威胁是如何得逞的以及针对这些威胁的对策。 弄清楚威胁的来源是减少威胁得逞可能性的关键,下弄清楚威胁的来源是减少威胁得逞可能性的关键,下面陈述各种主要的威胁源。面陈述各种主要的威胁源。1. 人为差错和设计缺陷人为差错和设计缺陷最大的威胁来源是操作中人为的疏忽行为。据一些统最大的威胁来源
22、是操作中人为的疏忽行为。据一些统计,造成信息系统在经费和生产力方面损失的一半是计,造成信息系统在经费和生产力方面损失的一半是由于人为的差错,另一半则是有意的、恶意的行为。由于人为的差错,另一半则是有意的、恶意的行为。这些人为差错包括不适当地安装和管理设备、软件,这些人为差错包括不适当地安装和管理设备、软件,不小心地删除文件,升级错误的文件,将不正确的信不小心地删除文件,升级错误的文件,将不正确的信息放入文件,忽视口令更换或做硬盘后备等行为,从息放入文件,忽视口令更换或做硬盘后备等行为,从而引起信息的丢失、系统的中断等事故。而引起信息的丢失、系统的中断等事故。20.3.1 威胁源威胁源上述事故由
23、于设计的缺陷,没有能防止很多普遍的人上述事故由于设计的缺陷,没有能防止很多普遍的人为差错引起的信息丢失或系统故障。设计的缺陷还会为差错引起的信息丢失或系统故障。设计的缺陷还会引起各种漏洞的暴露。引起各种漏洞的暴露。2. 内部人员内部人员很多信息保护设施的侵犯是由一些试图进行非授权行很多信息保护设施的侵犯是由一些试图进行非授权行动或越权行动的可信人员执行的。其动机有些是出于动或越权行动的可信人员执行的。其动机有些是出于好奇,有些是恶意的,有些则是为了获利。内部人员好奇,有些是恶意的,有些则是为了获利。内部人员的入侵行为包括复制、窃取或破坏信息,然而这些行的入侵行为包括复制、窃取或破坏信息,然而这
24、些行为又难以检测。这些个体持有许可或其他的授权,或为又难以检测。这些个体持有许可或其他的授权,或者通过那些毋需专门授权的行为使网络运行失效或侵者通过那些毋需专门授权的行为使网络运行失效或侵犯保护设施。根据统计,内部人员的侵犯占所有严重犯保护设施。根据统计,内部人员的侵犯占所有严重安全侵犯事件的安全侵犯事件的70%80%。3. 临时员工临时员工外部的顾问、合同工、临时工应和正式员工一样,必外部的顾问、合同工、临时工应和正式员工一样,必须有同样的基本信息安全要求和信息安全责任,但还须有同样的基本信息安全要求和信息安全责任,但还需有一些附加的限制。例如,和正式员工一样,需签需有一些附加的限制。例如,
25、和正式员工一样,需签一个信息安全遵守合同,接受相应的安全意识培训。一个信息安全遵守合同,接受相应的安全意识培训。除此之外,临时员工还必须有一个专门的协议,只允除此之外,临时员工还必须有一个专门的协议,只允许访问那些执行其委派的任务所需的信息和系统。许访问那些执行其委派的任务所需的信息和系统。4. 自然灾害和环境危害自然灾害和环境危害环境的要求,诸如最高温度和最低温度、最高湿度、环境的要求,诸如最高温度和最低温度、最高湿度、风暴、龙卷风、照明、为水所淹、雨、火灾以及地震风暴、龙卷风、照明、为水所淹、雨、火灾以及地震等,都能破坏主要的信息设施及其后备系统。应制定等,都能破坏主要的信息设施及其后备系
26、统。应制定灾难恢复计划,预防和处理这些灾害。灾难恢复计划,预防和处理这些灾害。5. 黑客和其他入侵者黑客和其他入侵者来自于非授权的黑客,为了获得钱财、产业秘密或纯来自于非授权的黑客,为了获得钱财、产业秘密或纯粹是破坏系统的入侵攻击行为近年来呈上升趋势。这粹是破坏系统的入侵攻击行为近年来呈上升趋势。这些群体经常雇佣一些攻击高手并进行耸人听闻的报导。些群体经常雇佣一些攻击高手并进行耸人听闻的报导。这些群体包括青少年黑客、专业犯罪者、工业间谍或这些群体包括青少年黑客、专业犯罪者、工业间谍或外国智能代理等。外国智能代理等。6. 病毒和其他恶意软件病毒和其他恶意软件病毒、蠕虫、特洛伊木马以及其他恶意软件
27、通过磁盘、病毒、蠕虫、特洛伊木马以及其他恶意软件通过磁盘、预包装的软件、电子邮件和连接到其他网络进入网络。预包装的软件、电子邮件和连接到其他网络进入网络。这些危害也可能是由于人为差错、内部人员或入侵者这些危害也可能是由于人为差错、内部人员或入侵者引起的。引起的。采取对策以防止各种威胁情况,不仅需要了解威胁的采取对策以防止各种威胁情况,不仅需要了解威胁的来源,还应知道这些威胁是怎样侵袭安全体系结构的。来源,还应知道这些威胁是怎样侵袭安全体系结构的。下面列举各种情况。下面列举各种情况。1. 社会工程(系统管理过程)社会工程(系统管理过程)社会工程攻击假冒已知授权的员工,采用伪装的方法社会工程攻击假
28、冒已知授权的员工,采用伪装的方法或电子通信的方法,具体情况如下:或电子通信的方法,具体情况如下: 攻击者发出一封电子邮件,声称是系统的根,通攻击者发出一封电子邮件,声称是系统的根,通知用户改变口令以达到暴露用户口令的目的。知用户改变口令以达到暴露用户口令的目的。 攻击者打电话给系统管理员,声称自己是企业经攻击者打电话给系统管理员,声称自己是企业经理,丢失了理,丢失了modem池的号码、忘记了口令。池的号码、忘记了口令。20.3.2 威胁情况和对策威胁情况和对策 谎说是计算机维修人员,被批准进入机房,并访谎说是计算机维修人员,被批准进入机房,并访问系统控制台。问系统控制台。 含有机密信息的固定存
29、储介质(硬盘、软盘)被含有机密信息的固定存储介质(硬盘、软盘)被丢弃或不合适地标号,被非授权者假装搜集废物获得。丢弃或不合适地标号,被非授权者假装搜集废物获得。所有上面所有上面4种威胁情况都可以使攻击得逞。社会工程种威胁情况都可以使攻击得逞。社会工程的保护措施大多是非技术的方法。下面列出的每一种的保护措施大多是非技术的方法。下面列出的每一种保护措施可防御上面提到的攻击:保护措施可防御上面提到的攻击:(1) 培训所有企业用户的安全意识。培训所有企业用户的安全意识。(2) 培训所有系统管理员的安全意识,并有完善的培训所有系统管理员的安全意识,并有完善的过程、处理、报告文本。过程、处理、报告文本。(
30、3) 对允许外访人员进入严格限制区域的负责人进对允许外访人员进入严格限制区域的负责人进行安全意识培训。行安全意识培训。2. 电子窃听电子窃听Internet协议集在设计时并未考虑安全。协议集在设计时并未考虑安全。TELNET、FTP、SMTP和其他基于和其他基于TCP/IP的应用易于从被动的的应用易于从被动的线接头获取。用户鉴别信息(如用户名和口令)易于线接头获取。用户鉴别信息(如用户名和口令)易于从网络中探测到,并伪装成授权员工使用。假如外部从网络中探测到,并伪装成授权员工使用。假如外部人员对企业设施获得物理访问,则可以将带有无线人员对企业设施获得物理访问,则可以将带有无线modem的手提计
31、算机接到局域网或集线器上,所有的手提计算机接到局域网或集线器上,所有通过局域网或集线器的数据易于被任何威胁者取得。通过局域网或集线器的数据易于被任何威胁者取得。此外,假如外部人员能电子访问带有此外,假如外部人员能电子访问带有modem服务器服务器进程的工作站,就可以将其作为进入企业网络的入口。进程的工作站,就可以将其作为进入企业网络的入口。任何在任何在Internet传输的数据对泄露威胁都是漏洞。所传输的数据对泄露威胁都是漏洞。所有上述有上述4种威胁都有可能使这些攻击得逞。种威胁都有可能使这些攻击得逞。防止窃听的保护措施包括鉴别和加密。使用双因子鉴防止窃听的保护措施包括鉴别和加密。使用双因子鉴
32、别提供强的鉴别,典型的做法是授权用户持有一个编别提供强的鉴别,典型的做法是授权用户持有一个编码信息的物理标记再加上一个用户个人标识号码信息的物理标记再加上一个用户个人标识号(PIN)或口令。保护传输中的口令和)或口令。保护传输中的口令和ID,可以采用,可以采用加密的措施。链路加密(加密的措施。链路加密(SSL和和IPv6)保护直接物理)保护直接物理连接或逻辑通信通路连接的两个系统之间传输的信息。连接或逻辑通信通路连接的两个系统之间传输的信息。应用加密(安全应用加密(安全Telnet和和FTP、S/MIME)提供报文)提供报文保护,在源端加密,只在目的地解密。数字签名可认保护,在源端加密,只在目
33、的地解密。数字签名可认证发送者的鉴别信息,如伴随用哈希算法可保护报文证发送者的鉴别信息,如伴随用哈希算法可保护报文的完整性。的完整性。3. 软件缺陷软件缺陷当前两个最大的软件缺陷是缓冲器溢出和拒绝服务攻当前两个最大的软件缺陷是缓冲器溢出和拒绝服务攻击。当写入太多的数据时,就会发生缓冲器溢出,通击。当写入太多的数据时,就会发生缓冲器溢出,通常是一串字符写入固定长度的缓冲器。对数据缓冲器常是一串字符写入固定长度的缓冲器。对数据缓冲器的输入没有足够的边界检查,使得输入超过缓冲器的的输入没有足够的边界检查,使得输入超过缓冲器的容量。一般情况下,系统崩溃是由于程序试图访问一容量。一般情况下,系统崩溃是由
34、于程序试图访问一个非法地址。然而,也有可能用一个数据串来代替生个非法地址。然而,也有可能用一个数据串来代替生成可检测的差错,从而造成攻击者希望的特定系统的成可检测的差错,从而造成攻击者希望的特定系统的漏洞。漏洞。Carnegie Mellon软件工程研究所的计算机应急响应软件工程研究所的计算机应急响应组(组(Computer Emergenoy Response Team,CERT)有)有196个有关缓冲器溢出的文档报告,如个有关缓冲器溢出的文档报告,如Microsoft的终端服务器的终端服务器Outlook Express, Internet信信息服务器(息服务器(IIS),还有一些众人熟知
35、的有关网络服),还有一些众人熟知的有关网络服务的,如网络定时协议(务的,如网络定时协议(Network Time Protocol,NTP)、)、Sendmail、BIND、SSHv1.37、Kerberos等。等。一个拒绝服务攻击使得目标系统响应变慢,以致完全一个拒绝服务攻击使得目标系统响应变慢,以致完全不可用。有很多原因可导致这种结果:不可用。有很多原因可导致这种结果: 编程错误编程错误以致使用以致使用100%的的CPU时间。时间。由于内存的漏洞使系由于内存的漏洞使系统的内存使用连续增加。统的内存使用连续增加。Web请求或远程过程调用请求或远程过程调用(RPC)中发生的畸形数据请求。)中发
36、生的畸形数据请求。大的分组请求,大的分组请求,如大量电子邮件地址请求和如大量电子邮件地址请求和Internet控制报文协议控制报文协议(Internet Control Message Protocol,ICMP)请求。)请求。不停的网络通信不停的网络通信UDP和和ICMP造成广播风暴和网络造成广播风暴和网络淹没。淹没。伪造的路由信息或无响应的连接请求。伪造的路由信息或无响应的连接请求。布布线、电源、路由器、平台或应用的错误配置。线、电源、路由器、平台或应用的错误配置。CERT有有318个文本是关于对各种应用和平台操作系个文本是关于对各种应用和平台操作系统的拒绝服务攻击。在大多数情况下,由于攻
37、击者已统的拒绝服务攻击。在大多数情况下,由于攻击者已经损坏了执行攻击的机器,使得要告发这些个体实施经损坏了执行攻击的机器,使得要告发这些个体实施的攻击很困难。的攻击很困难。4. 信息转移(主机之间的信任关系)信息转移(主机之间的信任关系)信任转移是把信任关系委托给可信的中介。一旦外部信任转移是把信任关系委托给可信的中介。一旦外部人员破坏了中介信任的机器,其他的主机或服务器也人员破坏了中介信任的机器,其他的主机或服务器也易于破坏。这样的攻击例子如下:易于破坏。这样的攻击例子如下: 误用一个误用一个.rhosts文件使受损的机器不需口令就能攻击任何在文件使受损的机器不需口令就能攻击任何在 .rho
38、sts文件中的机器。文件中的机器。假如外面的用户伪装成一个假如外面的用户伪装成一个网络操作系统用户或服务器,则所有信任该特定用户网络操作系统用户或服务器,则所有信任该特定用户或服务器的其他服务器也易于受破坏。或服务器的其他服务器也易于受破坏。一个通过网一个通过网络文件系统(络文件系统(Network File System,NFS)由各工作站)由各工作站共享文件的网络,假如其中一个客户工作站受损,一共享文件的网络,假如其中一个客户工作站受损,一个攻击者能在文件系统服务器上生成可执行的特权,个攻击者能在文件系统服务器上生成可执行的特权,那么攻击者能如同正常用户一样登录服务器并执行特那么攻击者能如
39、同正常用户一样登录服务器并执行特权命令。权命令。信任转移的保护措施主要是非技术方法。大部分信任转移的保护措施主要是非技术方法。大部分UNIX环境(非环境(非DCE)不提供信任转移的自动机制。)不提供信任转移的自动机制。因此系统管理员在映射主机之间的信任关系时必须特因此系统管理员在映射主机之间的信任关系时必须特别小心。别小心。5. 数据驱动攻击(恶意软件)数据驱动攻击(恶意软件)数据驱动攻击是由嵌在数据文件格式中的恶意软件引数据驱动攻击是由嵌在数据文件格式中的恶意软件引起的。这些数据文件格式如起的。这些数据文件格式如PS编程语言编程语言(postscript)文件、在文本中的)文件、在文本中的M
40、S Word基本命令、基本命令、shell命令表(命令表(shell script),下载的病毒或恶意程序。下载的病毒或恶意程序。数据驱动攻击的例子如下:数据驱动攻击的例子如下: 一个攻击者发送一个带有文件操作的一个攻击者发送一个带有文件操作的postscript文文件,将攻击者的主机标识加到件,将攻击者的主机标识加到.rhosts文件;或者打开文件;或者打开一个带有一个带有Word基本命令的基本命令的MS Word文本,能够访问文本,能够访问Windows动态链接库动态链接库(Dynamic Link Library,DLL)内的任何功能,包括内的任何功能,包括Winsock.dll。 一个
41、攻击者发送一个一个攻击者发送一个postscript文件,该文件常驻文件,该文件常驻在基于在基于postscript的传真服务器中,就能将每一个发的传真服务器中,就能将每一个发送和接收的传真拷贝发送给攻击者。送和接收的传真拷贝发送给攻击者。 一个用户从网上下载一个用户从网上下载shellscript或恶意软件,将受或恶意软件,将受害者的口令文件邮寄给攻击者,并删除所有受害者的害者的口令文件邮寄给攻击者,并删除所有受害者的文件。文件。 利用利用HTTP浏览器包装诸如特洛伊木马等恶意软件。浏览器包装诸如特洛伊木马等恶意软件。6. 拒绝服务拒绝服务DoS攻击并不利用软件的缺陷,而是利用实施特定协攻击
42、并不利用软件的缺陷,而是利用实施特定协议的缺陷。这些攻击会中断计算平台和网络设备的运议的缺陷。这些攻击会中断计算平台和网络设备的运行,使特定的网络端口、应用程序(如行,使特定的网络端口、应用程序(如SMTP代理)代理)和操作系统内核超载。这些攻击的例子有和操作系统内核超载。这些攻击的例子有TCP SYN淹没、淹没、ICMP炸弹、电子邮件垃圾、炸弹、电子邮件垃圾、Web欺骗、域名欺骗、域名服务(服务(Domain Name System,DNS)拦劫等。保持计)拦劫等。保持计算平台和网络设备的及时更新能避免大多数这些攻击。算平台和网络设备的及时更新能避免大多数这些攻击。防止有一些攻击需要诸如网络
43、防火墙这类网络过滤系防止有一些攻击需要诸如网络防火墙这类网络过滤系统。统。7. DNS欺骗欺骗域名系统(域名系统(DNS)是一个分布式数据库,用于)是一个分布式数据库,用于TCP/IP应用中,映射主机名和应用中,映射主机名和IP地址,以及提供电地址,以及提供电子邮件路由信息。如果子邮件路由信息。如果Internet地址值到域名的映射地址值到域名的映射绑定过程被破坏,域名就不再是可信的。这些易破坏绑定过程被破坏,域名就不再是可信的。这些易破坏的点是讹用的发送者、讹用的接收者、讹用的中介,的点是讹用的发送者、讹用的接收者、讹用的中介,以及服务提供者的攻击。例如,假如一个攻击者拥有以及服务提供者的攻
44、击。例如,假如一个攻击者拥有自己的自己的DNS服务器,或者破坏一个服务器,或者破坏一个DNS服务器,并加服务器,并加一个含有受害者一个含有受害者.rhosts文件的主机关系,攻击者就很文件的主机关系,攻击者就很容易登录和访问受害者的主机。容易登录和访问受害者的主机。对对DNS攻击的保护措施包括网络防火墙和过程方法。攻击的保护措施包括网络防火墙和过程方法。网络防火墙安全机制依靠双网络防火墙安全机制依靠双DNS服务器,一个用于企服务器,一个用于企业网络的内部,另一个用于外部,即对外公开的部分。业网络的内部,另一个用于外部,即对外公开的部分。这是为了限制攻击者了解内部网络主机的这是为了限制攻击者了解
45、内部网络主机的IP地址,从地址,从而加固内部而加固内部DNS服务。服务。Internet工程任务组(工程任务组(Internet Engineering Task Force,IETF)正致力于标准安全机)正致力于标准安全机制工作以保护制工作以保护DNS。所谓反对这些攻击的过程方法是。所谓反对这些攻击的过程方法是对关键的安全决定不依赖于对关键的安全决定不依赖于DNS。8. 源路由源路由通常通常IP路由是动态的,每个路由器决定将数据报发往路由是动态的,每个路由器决定将数据报发往下面哪一个站。但下面哪一个站。但IP的路由也可事先由发送者来确定,的路由也可事先由发送者来确定,称源路由。严格的源路由依
46、赖于发送者提供确切的通称源路由。严格的源路由依赖于发送者提供确切的通路,路,IP数据报必须按此通路走。松散的源路由依赖于数据报必须按此通路走。松散的源路由依赖于发送者提供一张最小的发送者提供一张最小的IP地址表,数据报必须按该表地址表,数据报必须按该表的规定通过。攻击者首先使受害者可信主机不工作,的规定通过。攻击者首先使受害者可信主机不工作,假装该主机的假装该主机的IP地址,然后使用源路由控制路由到攻地址,然后使用源路由控制路由到攻击者主机。受害者的目标主机认为分组来自受害者的击者主机。受害者的目标主机认为分组来自受害者的可信主机。源路由攻击的保护措施包括网络防火墙和可信主机。源路由攻击的保护
47、措施包括网络防火墙和路由屏幕。路由器和防火墙能拦阻路由分组进入企业路由屏幕。路由器和防火墙能拦阻路由分组进入企业网络。网络。9. 内部威胁内部威胁内部威胁包括前面提到的由内部人员作恶或犯罪的威内部威胁包括前面提到的由内部人员作恶或犯罪的威胁。大多数计算机安全统计表明,胁。大多数计算机安全统计表明,70%80%的计算的计算机欺骗来自内部。这些内部人员通常有反对公司的动机欺骗来自内部。这些内部人员通常有反对公司的动机,能对计算机和网络进行直接物理访问,以及熟悉机,能对计算机和网络进行直接物理访问,以及熟悉资源访问控制。在应用层的主要威胁是被授权的人员资源访问控制。在应用层的主要威胁是被授权的人员滥
48、用和误用授权。网络层的威胁是由于能对滥用和误用授权。网络层的威胁是由于能对LAN进进行物理访问,使内部人员能见到通过网络的敏感数据。行物理访问,使内部人员能见到通过网络的敏感数据。针对内部威胁的防护应运用一些基本的安全概念:责针对内部威胁的防护应运用一些基本的安全概念:责任分开、最小特权、对个体的可审性。责任分开是将任分开、最小特权、对个体的可审性。责任分开是将关键功能分成若干步,由不同的个体承担,如财务处关键功能分成若干步,由不同的个体承担,如财务处理的批准、审计、分接头布线的批准等。最小特权原理的批准、审计、分接头布线的批准等。最小特权原则是限制用户访问的资源,只限于工作必需的资源。则是限
49、制用户访问的资源,只限于工作必需的资源。这些资源的访问模式可以包括文件访问(读、写、执这些资源的访问模式可以包括文件访问(读、写、执行、删除)或处理能力(系统上生成或删除处理进程行、删除)或处理能力(系统上生成或删除处理进程的能力)。个体的可审性是保持各个体对其行为负责。的能力)。个体的可审性是保持各个体对其行为负责。可审性通常是由系统的用户标识和鉴别以及跟踪用户可审性通常是由系统的用户标识和鉴别以及跟踪用户在系统中的行为来完成。在系统中的行为来完成。当前安全体系结构的能力水平应从安全成熟度模型的当前安全体系结构的能力水平应从安全成熟度模型的3个方面进行评估,即对计划、布局和配置、运行过个方面
50、进行评估,即对计划、布局和配置、运行过程的评估。程的评估。安全评估方法的第安全评估方法的第1步是发现阶段,所有有关安全体步是发现阶段,所有有关安全体系结构适用的文本都必须检查,包括安全策略、标准、系结构适用的文本都必须检查,包括安全策略、标准、指南,信息等级分类和访问控制计划,以及应用安全指南,信息等级分类和访问控制计划,以及应用安全需求。全部基础设施安全设计也须检查,包括网络划需求。全部基础设施安全设计也须检查,包括网络划分设计,防火墙规则集,入侵检测配置;平台加固标分设计,防火墙规则集,入侵检测配置;平台加固标准、网络和应用服务器配置。准、网络和应用服务器配置。20.4 安全评估方法安全评
51、估方法 20.4.1 安全评估过程安全评估过程评估的第评估的第2步是人工检查阶段,将文本描述的体系结步是人工检查阶段,将文本描述的体系结构与实际的结构进行比较,找出其差别。可以采用手构与实际的结构进行比较,找出其差别。可以采用手工的方法,也可采用自动的方法。使用网络和平台发工的方法,也可采用自动的方法。使用网络和平台发现工具,在网络内部执行,可表示出所有的网络通路现工具,在网络内部执行,可表示出所有的网络通路以及主机操作系统类型和版本号。以及主机操作系统类型和版本号。NetSleuth工具是工具是一个一个IP可达性分析器,能提供到网络端口级的情况。可达性分析器,能提供到网络端口级的情况。QUE
52、SO和和NMAP这些工具具有对主机全部端口扫描这些工具具有对主机全部端口扫描的能力,并能识别设备的类型和软件版本。的能力,并能识别设备的类型和软件版本。评估的第评估的第3步是漏洞测试阶段。这是一个系统的检查,步是漏洞测试阶段。这是一个系统的检查,以决定安全方法的适用、标识安全的差别、评价现有以决定安全方法的适用、标识安全的差别、评价现有的和计划的保护措施的有效性。漏洞测试阶段又可分的和计划的保护措施的有效性。漏洞测试阶段又可分成成3步。步。第第1步包括网络、平台和应用漏洞测试。网络漏洞测步包括网络、平台和应用漏洞测试。网络漏洞测试的目标是从攻击者的角度检查系统。可以从一个组试的目标是从攻击者的
53、角度检查系统。可以从一个组织的织的Intranet内,也可以从内,也可以从Internet的外部,或者一个的外部,或者一个Extranet合作伙伴进入组织。用于网络漏洞测试的工合作伙伴进入组织。用于网络漏洞测试的工具通常是多种商业化的工具(例如具通常是多种商业化的工具(例如ISS扫描器、扫描器、Cisco的的Netsonar)以及开放给公共使用的工具(例如)以及开放给公共使用的工具(例如Nessus和和NMAP)。这些测试工具都以相同的方式工)。这些测试工具都以相同的方式工作。首先对给出的网络组件(例如防火墙、路由器、作。首先对给出的网络组件(例如防火墙、路由器、VPN网关、平台)的所有网络端
54、口进行扫描。一旦检网关、平台)的所有网络端口进行扫描。一旦检测到一个开启的端口,就使用已知的各种方法攻击这测到一个开启的端口,就使用已知的各种方法攻击这端口(例如在端口(例如在Microsoft IIS5.0、Kerberos、SSHdaemon和和Sun Solstice AdminSuite Daemon的缓的缓冲器溢出)。大部分商业产品能生成一个详细的报告,冲器溢出)。大部分商业产品能生成一个详细的报告,根据攻击产生的危害,按风险级别列出分类的漏洞。根据攻击产生的危害,按风险级别列出分类的漏洞。漏洞测试的第漏洞测试的第2步是平台扫描,又称系统扫描。平台步是平台扫描,又称系统扫描。平台扫描
55、验证系统配置是否遵守给定的安全策略。此外,扫描验证系统配置是否遵守给定的安全策略。此外,它还检测任何安全漏洞和配置错误(例如不安全的文它还检测任何安全漏洞和配置错误(例如不安全的文件保护件保护注册和配置目录)以及可利用的网络服务注册和配置目录)以及可利用的网络服务(例如(例如HTTP、FTP、DNS、SMTP等)。一旦平台等)。一旦平台的安全加固已经构建,系统扫描将构成基础,它定时的安全加固已经构建,系统扫描将构成基础,它定时地检测任何重要的变化(例如主页更换、地检测任何重要的变化(例如主页更换、Web站点受站点受损)。损)。漏洞测试的第漏洞测试的第3步是应用扫描。应用扫描工具不像网步是应用扫
56、描。应用扫描工具不像网络或平台工具那样是自动的,因此,它是一个手动的络或平台工具那样是自动的,因此,它是一个手动的处理过程。其理念是模仿攻击者成为授权用户是如何处理过程。其理念是模仿攻击者成为授权用户是如何误用这应用。误用这应用。安全评估的最后安全评估的最后1步是认证安全体系结构的处理过程步是认证安全体系结构的处理过程部分。包括自动的报警设施以及负责配置所有安全体部分。包括自动的报警设施以及负责配置所有安全体系结构组件(如防火墙、系结构组件(如防火墙、IDS、VPN等)的人。安全等)的人。安全控制出现的问题最多的是人为的差错。例如,引起防控制出现的问题最多的是人为的差错。例如,引起防火墙不能安
57、全运行的主要原因是配置的错误以及不好火墙不能安全运行的主要原因是配置的错误以及不好的变更管理过程,如下面一些情况:的变更管理过程,如下面一些情况: 有一个防火有一个防火墙管理员在深夜接到一个紧急电话,声称由于网络的墙管理员在深夜接到一个紧急电话,声称由于网络的问题使应用出错。问题使应用出错。管理员取消管理集对分组的限制,管理员取消管理集对分组的限制,观察是否是防火墙阻断了这个分组。观察是否是防火墙阻断了这个分组。应用开始正常应用开始正常工作,管理员回去睡觉,但忘了防火墙管理集是打开工作,管理员回去睡觉,但忘了防火墙管理集是打开着的。着的。之后企业网络被入侵,因为防火墙并不执行之后企业网络被入侵
58、,因为防火墙并不执行任何访问控制。任何访问控制。在漏洞分析测试期间,安全体系结构监控和报警设施在漏洞分析测试期间,安全体系结构监控和报警设施应在最忙的状态。测试可以事先通知,允许净化安全应在最忙的状态。测试可以事先通知,允许净化安全日志、分配合适的磁盘空间。测试也可以事先不通知,日志、分配合适的磁盘空间。测试也可以事先不通知,可以测量安全支持人员的反应时间。测量可以测量安全支持人员的反应时间。测量Internet服服务提供者的反应时间是有用的,特别是他们负责管理务提供者的反应时间是有用的,特别是他们负责管理Internet防火墙的情况。防火墙的情况。将上面将上面5个漏洞分析测试阶段的结果汇总、
59、分析,可个漏洞分析测试阶段的结果汇总、分析,可得出总的风险分析文本,从得出总的风险分析文本,从5个阶段中产生的信息是个阶段中产生的信息是覆盖的。很多自动工具厂商有内置的报告产生器,根覆盖的。很多自动工具厂商有内置的报告产生器,根据可能引起危害的漏洞进行分类。风险分析信息必须据可能引起危害的漏洞进行分类。风险分析信息必须应用到经营业务,转而成为经营业务影响的文本。很应用到经营业务,转而成为经营业务影响的文本。很多安全评估报告没有将风险分析反馈到对经营业务的多安全评估报告没有将风险分析反馈到对经营业务的影响,安全评估的价值就很小。图影响,安全评估的价值就很小。图20.2表示从安全成表示从安全成熟度
60、模型熟度模型3个方面的安全评估阶段。个方面的安全评估阶段。图图20.2 安全评估阶段安全评估阶段由于由于Internet协议协议TCP/IP的实施没有任何内置的安全的实施没有任何内置的安全机制,因此大部分基于网络的应用也是不安全的。网机制,因此大部分基于网络的应用也是不安全的。网络安全评估的目标是保证所有可能的网络安全漏洞是络安全评估的目标是保证所有可能的网络安全漏洞是关闭的。多数网络安全评估是在公共访问的机器上,关闭的。多数网络安全评估是在公共访问的机器上,从从Internet上的一个上的一个IP地址来执行的,诸如地址来执行的,诸如E-mail服服务器、域名服务器(务器、域名服务器(DNS)
61、、)、Web服务器、服务器、FTP和和VPN网关等。另一种不同的网络评估实施是给出网络网关等。另一种不同的网络评估实施是给出网络拓扑、防火墙规则集和公共可用的服务器及其类型的拓扑、防火墙规则集和公共可用的服务器及其类型的清单。清单。20.4.2 网络安全评估网络安全评估网络评估的第网络评估的第1步是了解网络的拓扑。假如防火墙在步是了解网络的拓扑。假如防火墙在阻断跟踪路由分组,这就比较复杂,因为跟踪路由器阻断跟踪路由分组,这就比较复杂,因为跟踪路由器是用来绘制网络拓扑的。是用来绘制网络拓扑的。第第2步是获取公共访问机器的名字和步是获取公共访问机器的名字和IP地址,这是比地址,这是比较容易完成的。
62、只要使用较容易完成的。只要使用DNS并在并在ARIN(American Registry for Internet Number)试注册所有的公共地)试注册所有的公共地址。址。最后最后1步是对全部可达主机做端口扫描的处理。端口步是对全部可达主机做端口扫描的处理。端口是用于是用于TCP/IP和和UDP网络中将一个端口标识到一个网络中将一个端口标识到一个逻辑连接的术语。端口号标识端口的类型,例如逻辑连接的术语。端口号标识端口的类型,例如80号号端口专用于端口专用于HTTP通信。假如给定端口有响应,那么通信。假如给定端口有响应,那么将测试所有已知的漏洞。表将测试所有已知的漏洞。表20-2列出了各种类
63、型的端列出了各种类型的端口扫描技术。口扫描技术。(见书中表见书中表20-2)平台安全评估的目的是认证平台的配置(操作系统对平台安全评估的目的是认证平台的配置(操作系统对已知漏洞不易受损、文件保护及配置文件有适当的保已知漏洞不易受损、文件保护及配置文件有适当的保护)。认证的惟一方法是在平台自身上执行一个程序。护)。认证的惟一方法是在平台自身上执行一个程序。有时该程序称为代理,因为集中的管理程序由此开始。有时该程序称为代理,因为集中的管理程序由此开始。假如平台已经适当加固,那么有一个基准配置。假如平台已经适当加固,那么有一个基准配置。评估的第评估的第1部分是认证基准配置、操作系统、网络服部分是认证
64、基准配置、操作系统、网络服务(务(FTP、rlogin、telnet、SSH等)没有变更。黑客等)没有变更。黑客首先是将这些文件替换成自己的版本。这些版本通常首先是将这些文件替换成自己的版本。这些版本通常是记录管理员的口令,并转发给是记录管理员的口令,并转发给Internet上的攻击者。上的攻击者。假如任何文件需打补丁或需要使用服务包,代理将通假如任何文件需打补丁或需要使用服务包,代理将通知管理员。知管理员。20.4.3 平台安全估计平台安全估计第第2部分测试是认证管理员的口令,大部分机器不允部分测试是认证管理员的口令,大部分机器不允许应用用户登录到平台,对应用的用户鉴别是在平台许应用用户登录
65、到平台,对应用的用户鉴别是在平台上运行的,而不是平台本身。上运行的,而不是平台本身。此外,还有测试本地口令的强度,如口令长度、口令此外,还有测试本地口令的强度,如口令长度、口令组成、字典攻击等。组成、字典攻击等。最后跟踪审计子系统,在黑客作案前就能跟踪其行迹。最后跟踪审计子系统,在黑客作案前就能跟踪其行迹。数据库的安全评估也是必须的,这部分内容不在本书数据库的安全评估也是必须的,这部分内容不在本书叙述范围内。叙述范围内。应用安全评估比使用像网络和平台扫描这些自动工具应用安全评估比使用像网络和平台扫描这些自动工具而言,需要更多的技艺。黑客的目标是得到系统对应而言,需要更多的技艺。黑客的目标是得到
66、系统对应用平台的访问,强迫应用执行某些非授权用户的行为。用平台的访问,强迫应用执行某些非授权用户的行为。很多基于很多基于Web应用的开发者使用公共网关接口应用的开发者使用公共网关接口(Common Gateway Interface,CGI)来分析表格,黑客来分析表格,黑客能利用很多已知漏洞来访问使用能利用很多已知漏洞来访问使用CGI开发的开发的Web服务服务器平台(例如放入器平台(例如放入“&”这些额外的字符)。这些额外的字符)。20.4.4 应用安全评估应用安全评估低质量编写的应用程序的最大风险是允许访问执行应低质量编写的应用程序的最大风险是允许访问执行应用程序的平台。当一个应用损坏时,安
67、全体系结构必用程序的平台。当一个应用损坏时,安全体系结构必须将黑客包含进平台。一旦一台在公共层的机器受损,须将黑客包含进平台。一旦一台在公共层的机器受损,就可用它来攻击其他的机器。最通用的方法是在受损就可用它来攻击其他的机器。最通用的方法是在受损的机器上安装一台口令探测器。的机器上安装一台口令探测器。根据计算机信息系统安全技术发展的要求,信息系统根据计算机信息系统安全技术发展的要求,信息系统安全保护等级划分和评估的基本准则如下。安全保护等级划分和评估的基本准则如下。1. 可信计算机系统评估准则可信计算机系统评估准则TCSEC(Trusted Computer System Evaluation
68、 Criteria, 可信计算机系统评估准则)是由美国国家计可信计算机系统评估准则)是由美国国家计算机安全中心(算机安全中心(NCSC)于)于1983年制定的计算机系统年制定的计算机系统安全等级划分的基本准则,又称桔皮书。安全等级划分的基本准则,又称桔皮书。1987年年NCSC又发布了红皮书,即可信网络指南(又发布了红皮书,即可信网络指南(Trusted Network Interpretation of the TCSEC, TNI),1991年年又发布了可信数据库指南(又发布了可信数据库指南(Trusted Database Interpretation of the TCSEC, TDI
69、)。)。20.5 安全评估准则安全评估准则2. 信息技术安全评估准则信息技术安全评估准则ITSEC(Information Technology Security Evaluation Criteria, 信息技术安全评估准则)由欧洲四国(荷、信息技术安全评估准则)由欧洲四国(荷、法、英、德)于法、英、德)于1989年联合提出,俗称白皮书。在吸年联合提出,俗称白皮书。在吸收收TCSEC的成功经验的基础上,首次在评估准则中的成功经验的基础上,首次在评估准则中提出了信息安全的保密性、完整性、可用性的概念,提出了信息安全的保密性、完整性、可用性的概念,把可信计算机的概念提高到可信信息技术的高度。把可
70、信计算机的概念提高到可信信息技术的高度。3. 通用安全评估准则通用安全评估准则CC(Command Criteria for IT Security Evaluation,通用安全评估准则)由美国国家标准技术研究所通用安全评估准则)由美国国家标准技术研究所(NIST)、国家安全局()、国家安全局(NSA)、欧洲的荷、法、)、欧洲的荷、法、德、英以及加拿大等德、英以及加拿大等6国国7方联合提出,并于方联合提出,并于1991年宣年宣布,布,1995年发布正式文件。它的基础是欧洲的白皮书年发布正式文件。它的基础是欧洲的白皮书ITSEC、美国的(包括桔皮书、美国的(包括桔皮书TCSEC在内的)新的在内
71、的)新的联邦评价准则、加拿大的联邦评价准则、加拿大的CTCPEC以及国际标准化以及国际标准化组织的组织的ISO/SCITWGS的安全评价标准。的安全评价标准。4. 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则我国国家质量技术监督局于我国国家质量技术监督局于1999年发布的国家标准,年发布的国家标准,序号为序号为GB17859-1999。评价准则的出现为我们评价、。评价准则的出现为我们评价、开发、研究计算机及其网络系统的安全提供了指导准开发、研究计算机及其网络系统的安全提供了指导准则。则。TCSEC共分为共分为4类类7级:级:D、C1、C2、B1、B2、B3、A1。1.
72、D级级安全性能达不到安全性能达不到C1级的划分为级的划分为D级。级。D级并非没有安级并非没有安全保护功能,只是太弱。全保护功能,只是太弱。2. C1级,自主安全保护级级,自主安全保护级可信计算基定义和控制系统中命名用户对命名客体的可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(如访问控制表)允许命名用户和用访问。实施机制(如访问控制表)允许命名用户和用户组的身份规定并控制客体的共享,并阻止非授权用户组的身份规定并控制客体的共享,并阻止非授权用户读取敏感信息。户读取敏感信息。20.5.1 可信计算机系统评估准则可信计算机系统评估准则可信计算基(可信计算基(Trusted Compu
73、ting Base, TCB)是指)是指为实现计算机处理系统安全保护策略的各种安全保护为实现计算机处理系统安全保护策略的各种安全保护机制的集合。机制的集合。3. C2级,受控存取保护级级,受控存取保护级与自主安全保护级相比,本级的可信计算基实施了粒与自主安全保护级相比,本级的可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全度更细的自主访问控制,它通过登录规程、审计安全性相关事件以及隔离资源,使用户能对自己的行为负性相关事件以及隔离资源,使用户能对自己的行为负责。责。4. C2级,标记安全保护级级,标记安全保护级本级的可信计算基具有受控存取保护级的所有功能。本级的可信计算基具有受
74、控存取保护级的所有功能。此外,还可提供有关安全策略模型、数据标记以及主此外,还可提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述,具有准确地体对客体强制访问控制的非形式化描述,具有准确地标记输出信息的能力,可消除通过测试发现的任何错标记输出信息的能力,可消除通过测试发现的任何错误。误。5. B2级,结构化保护级级,结构化保护级本级的可信计算基建立于一个明确定义的形式安全策本级的可信计算基建立于一个明确定义的形式安全策略模型之上,它要求将略模型之上,它要求将B1级系统中的自主和强制访级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽问控制扩展到所有主体与客
75、体。此外,还要考虑隐蔽通道。本级的可信计算基必须结构化为关键保护元素通道。本级的可信计算基必须结构化为关键保护元素和非关键保护元素。可信计算基的接口也必须明确定和非关键保护元素。可信计算基的接口也必须明确定义,使其设计与实现能经受更充分的测试和更完整的义,使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制,支持系统管理员和操作员的复审。加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制。系职能,提供可信设施管理,增强了配置管理控制。系统具有相当的抗渗透能力。统具有相当的抗渗透能力。6. B3级,安全域级级,安全域级本级的可信计算基满足访问监控器需求。
76、访问监控器本级的可信计算基满足访问监控器需求。访问监控器是指监控主体和客体之间授权访问关系的部件。访问是指监控主体和客体之间授权访问关系的部件。访问监控器仲裁主体对客体的全部访问。访问监控器本身监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,必须足够小,能够分析和测试。为了满是抗篡改的,必须足够小,能够分析和测试。为了满足访问监控器需求,可信计算基在其构造时排除实施足访问监控器需求,可信计算基在其构造时排除实施对安全策略来说并非必要的代码。在设计和实现时,对安全策略来说并非必要的代码。在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安从系统工程角度将其复杂性降低到最小程度
77、。支持安全管理员职能;扩充审计机制,当发生与安全相关的全管理员职能;扩充审计机制,当发生与安全相关的事件时发出信号;提供系统恢复机制。系统具有很高事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。的抗渗透能力。7. A1级,验证设计级级,验证设计级本级的安全功能与本级的安全功能与B3级相同,但最明显的不同是本级相同,但最明显的不同是本级必须对相同的设计运用数学形式化证明方法加以验级必须对相同的设计运用数学形式化证明方法加以验证,以证明安全功能的正确性。本级还规定了将安全证,以证明安全功能的正确性。本级还规定了将安全计算机系统运送到现场安装所必须遵守的程序。计算机系统运送到现场安装所必
78、须遵守的程序。这是我国国家质量技术监督局于这是我国国家质量技术监督局于1999年发布的计算机年发布的计算机信息系统安全保护等级划分的基本准则,是强制性的信息系统安全保护等级划分的基本准则,是强制性的国家标准,序号为国家标准,序号为GB17859-1999。准则规定了计算。准则规定了计算机信息系统安全保护能力的机信息系统安全保护能力的5个等级。个等级。20.5.2 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则1.概述概述准则准则是计算机信息系统安全等级保护系列标准是计算机信息系统安全等级保护系列标准的核心,制定的核心,制定准则准则是实行计算机信息系统安全是实行计算机信息系
79、统安全等级保护制度建设的重要基础,其主要目的是:等级保护制度建设的重要基础,其主要目的是:支持计算机信息系统安全法规的制定;支持计算机信息系统安全法规的制定;为计算机信息系统安全产品的研发提供功能框架;为计算机信息系统安全产品的研发提供功能框架;为安全系统的建设和管理提供技术指导。为安全系统的建设和管理提供技术指导。准则准则在系统地、科学地分析计算机处理系统的在系统地、科学地分析计算机处理系统的安全问题的基础上,结合我国信息系统建设的实际安全问题的基础上,结合我国信息系统建设的实际情况,将计算机信息系统的安全等级划分为如下情况,将计算机信息系统的安全等级划分为如下5级:级:第一级第一级,用户自
80、主保护级;用户自主保护级;第二级,系统审计保护级;第二级,系统审计保护级;第三级,安全标记保护级;第三级,安全标记保护级;第四级,结构化保护级;第四级,结构化保护级;第五级,访问验证保护级。第五级,访问验证保护级。各级的命名,主要考虑了使各级的名称能够体现这各级的命名,主要考虑了使各级的名称能够体现这一级别安全功能的主要特性。计算机信息系统安全一级别安全功能的主要特性。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。保护能力随着安全保护等级的增高,逐渐增强。5个级别的安全保护能力之间的关系如图个级别的安全保护能力之间的关系如图20.3所示。所示。图图20.3 各等级安全保护能力示意
81、图各等级安全保护能力示意图2.技术功能说明技术功能说明在计算机信息系统的安全保护中,一个重要的概念是在计算机信息系统的安全保护中,一个重要的概念是可信计算基(可信计算基(trusted computing base, TCB)。可信)。可信计算基是一个实现安全策略的机制,包括硬件、软件计算基是一个实现安全策略的机制,包括硬件、软件和必要的固件,它们将根据安全策略来处理主体(系和必要的固件,它们将根据安全策略来处理主体(系统管理员、安全管理员和用户)对客体(进程、文件、统管理员、安全管理员和用户)对客体(进程、文件、记录、设备等)的访问。可信计算基具有以下特性:记录、设备等)的访问。可信计算基具
82、有以下特性:实施主体对客体的安全访问的功能;实施主体对客体的安全访问的功能;抗篡改的性质;抗篡改的性质;易于分析与测试的结构。易于分析与测试的结构。在在准则准则规定的规定的5个级别中,其安全保护能力主要个级别中,其安全保护能力主要取决于可信计算基的特性,即各级之间的差异主要体取决于可信计算基的特性,即各级之间的差异主要体现在可信计算基的构造及它所具有的安全保护能力上。现在可信计算基的构造及它所具有的安全保护能力上。1.概述概述通用安全评估准则通用安全评估准则(CC)是一个国际标准。该标准描是一个国际标准。该标准描述了这么一个规则:述了这么一个规则:“可作为评估可作为评估IT产品与系统产品与系统
83、的基础的基础,这个标准允许在相互独立的不同安全评,这个标准允许在相互独立的不同安全评估结果之间进行比较估结果之间进行比较,提供一套公共的用于,提供一套公共的用于IT产产品与系统的安全功能集,以及适应该功能集的安全保品与系统的安全功能集,以及适应该功能集的安全保障的测度。评估过程确定了障的测度。评估过程确定了IT产品与系统关于安全功产品与系统关于安全功能及保障的可信水平能及保障的可信水平”。CC由由3个部分组成:安全功个部分组成:安全功能、安全保障与评估方法。信息系统安全工程能、安全保障与评估方法。信息系统安全工程(ISSE)可以利用)可以利用CC作为工具支持其行为,包括为作为工具支持其行为,包
84、括为信息保护系统制定系统级的描述和支持批准过程。信息保护系统制定系统级的描述和支持批准过程。20.5.3 通用安全评估准则通用安全评估准则图图20.4 CC中的安全概念与相互关系中的安全概念与相互关系图图20.4显示显示CC是如何应用的,用是如何应用的,用CC的语法建立信息的语法建立信息安全的过程是符合安全的过程是符合ISSE过程的。发掘信息保护需求过程的。发掘信息保护需求的行为提供了各种信息,如所有者怎样评估资产、威的行为提供了各种信息,如所有者怎样评估资产、威胁代理是什么、什么是威胁、什么是对策(要求与功胁代理是什么、什么是威胁、什么是对策(要求与功能)和什么是风险(部分地)。定义信息保护
85、系统的能)和什么是风险(部分地)。定义信息保护系统的行为提供了用于描述如下事务的信息:什么是对策行为提供了用于描述如下事务的信息:什么是对策(命名组件)、什么是脆弱性(基于体系结构)、什(命名组件)、什么是脆弱性(基于体系结构)、什么是风险(更全面)。设计信息保护系统的行为提供么是风险(更全面)。设计信息保护系统的行为提供了如下信息:什么是对策(验证了的信息保护产品功了如下信息:什么是对策(验证了的信息保护产品功能)、什么是脆弱性(基于设计的、组合并验证了的能)、什么是脆弱性(基于设计的、组合并验证了的测试结果)和什么是风险(更加全面)。测试结果)和什么是风险(更加全面)。实现信息保护系统的行
86、为最后提供了如下信息:什么实现信息保护系统的行为最后提供了如下信息:什么是对策(安装了的、有效的信息系统保护功能)、什是对策(安装了的、有效的信息系统保护功能)、什么是脆弱性(基于有效性与漏洞测试实现结果)、什么是脆弱性(基于有效性与漏洞测试实现结果)、什么是风险(更加全面)。么是风险(更加全面)。CC并不描述个体和操作的并不描述个体和操作的安全,也不描述评估的有效性或其他使系统更有效的安全,也不描述评估的有效性或其他使系统更有效的管理经验。管理经验。CC提供了一种标准的语言与语法,用户提供了一种标准的语言与语法,用户和开发者可以用它来声明系统的通用功能(保护轮廓和开发者可以用它来声明系统的通
87、用功能(保护轮廓或或PP)或被评估的特定性能(安全目标或)或被评估的特定性能(安全目标或ST)。)。PP都以标准化的格式定义了一套功能要求与保障要都以标准化的格式定义了一套功能要求与保障要求,它们或者来自于求,它们或者来自于CC,或由用户定义,用来解决,或由用户定义,用来解决已知的或假设的安全问题(可能定义成对被保护资产已知的或假设的安全问题(可能定义成对被保护资产的威胁)。对于一个完全与安全目标一致的评估对象的威胁)。对于一个完全与安全目标一致的评估对象(TOE)集合,)集合,PP允许各对象有独立的安全要求表允许各对象有独立的安全要求表述。述。PP设计是可重用的,并且定义了可有效满足确设计是
88、可重用的,并且定义了可有效满足确定目标的定目标的TOE环境。环境。PP也包括了安全性与安全目标也包括了安全性与安全目标的基本依据。即使评估对象是特定类型的的基本依据。即使评估对象是特定类型的IT产品、系产品、系统(如操作系统、数据库管理系统、智能卡、防火墙统(如操作系统、数据库管理系统、智能卡、防火墙等),其安全需求的定义也不会因系统不同而不同。等),其安全需求的定义也不会因系统不同而不同。PP可以由用户团体、可以由用户团体、IT产品开发者或其他有兴趣定产品开发者或其他有兴趣定义这样一个需求集合的集体开发。义这样一个需求集合的集体开发。PP给了消费者一给了消费者一个参考特定安全需求集合的手段,
89、并使得用户对这些个参考特定安全需求集合的手段,并使得用户对这些要求的评估变得容易。因此,要求的评估变得容易。因此,PP是一个合适的用于是一个合适的用于ISSE开发并描述其架构的开发并描述其架构的CC文档,可以作为查询与文档,可以作为查询与技术评估的基础。技术评估的基础。ST包括一个参考包括一个参考PP的安全需求的集合,或者直接引的安全需求的集合,或者直接引用用CC的功能或保障部分,或是更加详细地对其说明。的功能或保障部分,或是更加详细地对其说明。ST使得对稳定使得对稳定TOE的安全需求的描述能够有效地满的安全需求的描述能够有效地满足确定目标的需要。足确定目标的需要。ST包括评估对象的概要说明、
90、包括评估对象的概要说明、安全要求与目标及其根据。安全要求与目标及其根据。ST是各团体对是各团体对TOE所提所提供的安全性达成一致的基础。供的安全性达成一致的基础。PP和和ST也可以是在负责管理系统开发的团体、系统也可以是在负责管理系统开发的团体、系统的核心成员及负责生产该系统的组织之间互相沟通的的核心成员及负责生产该系统的组织之间互相沟通的一种手段。在这种环境中,应该建议一种手段。在这种环境中,应该建议ST对对PP做出响做出响应。应。PP与与ST的内容可以在参与者之间协商。基于的内容可以在参与者之间协商。基于PP与与ST的对实际系统的评估是验收过程的一部分。总的对实际系统的评估是验收过程的一部
91、分。总的来说,非的来说,非IT的安全需求也将被协商和评估。通常安的安全需求也将被协商和评估。通常安全问题的解决并不是独立于系统的其他需求的。全问题的解决并不是独立于系统的其他需求的。ST与与PP的关系如图的关系如图20.5所示。所示。图图20.5 保护轮廓与安全目标的关系保护轮廓与安全目标的关系CC的观点是,在对即将要信任的的观点是,在对即将要信任的IT产品和系统进行产品和系统进行评估的基础之上提供一种保障。评估是一种传统的提评估的基础之上提供一种保障。评估是一种传统的提供保障的方式,同时也是先期评估准则文档的基础。供保障的方式,同时也是先期评估准则文档的基础。为了与现有方式一致,为了与现有方
92、式一致,CC也采纳了同样的观点。也采纳了同样的观点。CC建议专业评估员加大评估的广度、深度与强度,来检建议专业评估员加大评估的广度、深度与强度,来检测文档的有效性和测文档的有效性和IT产品或系统的结果。产品或系统的结果。CC并不排除也不评估其他获取保障的方法的优点。并不排除也不评估其他获取保障的方法的优点。针对其他可替代的获取保障的方法正在研究。这些研针对其他可替代的获取保障的方法正在研究。这些研究行为所产生的可替代的方法可能会被考虑加入到究行为所产生的可替代的方法可能会被考虑加入到CC之中,而之中,而CC的结构允许它今后引入其他方法。的结构允许它今后引入其他方法。CC的观点宣称,用于评估的努
93、力越多,安全保障效的观点宣称,用于评估的努力越多,安全保障效果越好;果越好;CC的目标是用最小的努力来达到必须的保的目标是用最小的努力来达到必须的保障水平。努力程度的增加基于如下因素:障水平。努力程度的增加基于如下因素:范围,必须加强努力,因为大部分的范围,必须加强努力,因为大部分的IT产品与系统包产品与系统包含在内。含在内。深度,努力必须加深,因为评估证据的搜集依赖于更深度,努力必须加深,因为评估证据的搜集依赖于更好的设计水平与实现细节。好的设计水平与实现细节。强度,努力必须加大,因为评估证据的搜集需要结构强度,努力必须加大,因为评估证据的搜集需要结构化和正式的方式。化和正式的方式。评估过程
94、为评估过程为PP与与ST所需的保障提供了证据,如图所需的保障提供了证据,如图20.6所示。评估的结果就是对信息保护系统的某种程所示。评估的结果就是对信息保护系统的某种程度上的确信。其他度上的确信。其他ISSE过程,如风险管理,提供了过程,如风险管理,提供了将这种确信转化成管理决策准则的方法。将这种确信转化成管理决策准则的方法。图图20.6 评估的概念与相互关系评估的概念与相互关系图图20.7说明了系统(或子系统)可以参照说明了系统(或子系统)可以参照PP或或ST得得到评估,辅以外部认证与批准准则,从而创建评估产到评估,辅以外部认证与批准准则,从而创建评估产品集,以对系统的批准过程提供支持。品集
95、,以对系统的批准过程提供支持。图图20.7 使用评估结果使用评估结果2.安全功能要求与安全保证要求安全功能要求与安全保证要求(1) 安全功能要求安全功能要求安全功能要求分为以下安全功能要求分为以下10类:类:安全审计类;安全审计类;通信类(主要是身份真实性和抗否认);通信类(主要是身份真实性和抗否认);密码支持类;密码支持类;用户数据保护类;用户数据保护类;标识和鉴别类;标识和鉴别类;安全管理类(与安全管理类(与TSF有关的管理);有关的管理);隐秘类(保护用户隐私);隐秘类(保护用户隐私);TSF保护类(保护类(TOE自身安全保护);自身安全保护);资源利用类(从资源管理角度确保资源利用类(
96、从资源管理角度确保TSF安全);安全);TOE访问类(从对访问类(从对TOE的访问控制确保安全性);的访问控制确保安全性);可信路径可信路径/信道类。信道类。这些安全类又分为族,族中又分为组件。组件是对具这些安全类又分为族,族中又分为组件。组件是对具体安全要求的描述。从叙述上看,每一个族中的具体体安全要求的描述。从叙述上看,每一个族中的具体安全要求也是有差别的,但安全要求也是有差别的,但CC没有以这些差别作为没有以这些差别作为划分安全等级的依据。划分安全等级的依据。(2) 安全保证要求安全保证要求在对安全保护框架和安全目标的评估进行说明以后,在对安全保护框架和安全目标的评估进行说明以后,将具体
97、的安全保证要求分为以下将具体的安全保证要求分为以下8类:类:配置管理类;配置管理类;分发和操作类;分发和操作类;开发类;开发类;指导性文档类;指导性文档类;生命周期支持类;生命周期支持类;测试类;测试类;脆弱性评定类;脆弱性评定类;保证的维护类。保证的维护类。按照对上述按照对上述8类安全保证要求的不断递增,类安全保证要求的不断递增,CC将将TOE分为分为7个安全保证级,分别是:个安全保证级,分别是:第一级,功能测试级;第一级,功能测试级;第二级,结构测试级;第二级,结构测试级;第三级,系统测试和检查级;第三级,系统测试和检查级;第四级,系统设计、测试和复查级;第四级,系统设计、测试和复查级;第
98、五级,半形式化设计和测试级;第五级,半形式化设计和测试级;第六级,半形式化验证的设计和测试级;第六级,半形式化验证的设计和测试级;第七级,形式化验证的设计和测试级。第七级,形式化验证的设计和测试级。风险管理是识别、评估和减少风险的过程。风险评估风险管理是识别、评估和减少风险的过程。风险评估对漏洞和威胁的可能性进行检查,并考虑事故造成的对漏洞和威胁的可能性进行检查,并考虑事故造成的可能影响。描述威胁和漏洞最好的方法是根据对经营可能影响。描述威胁和漏洞最好的方法是根据对经营业务的影响来描述。业务的影响来描述。成熟度模型可用来测量组织的解决方案(软件、硬件、成熟度模型可用来测量组织的解决方案(软件、
99、硬件、系统)的能力和效力,可用于安全评估方法,以测量系统)的能力和效力,可用于安全评估方法,以测量针对业界最佳实际的安全体系结构。可以就以下针对业界最佳实际的安全体系结构。可以就以下3个个方面进行分析:安全计划、技术与配置、运行过程。方面进行分析:安全计划、技术与配置、运行过程。20.5 本章小结本章小结弄清楚威胁的来源是减少威胁得逞可能性的关键。威弄清楚威胁的来源是减少威胁得逞可能性的关键。威胁源包括人为差错和设计缺陷、内部人员、临时员工、胁源包括人为差错和设计缺陷、内部人员、临时员工、自然灾害和环境危害、黑客和其他入侵者、病毒和其自然灾害和环境危害、黑客和其他入侵者、病毒和其他恶意软件。他
100、恶意软件。威胁的情况包括系统管理过程、电子窃听、软件利用、威胁的情况包括系统管理过程、电子窃听、软件利用、信任转移、数据驱动攻击、拒绝服务、信任转移、数据驱动攻击、拒绝服务、DNS欺骗、源欺骗、源路由,以及内部威胁。应采取相应对策和保护措施。路由,以及内部威胁。应采取相应对策和保护措施。安全评估可分安全评估可分5个阶段:个阶段: 发现阶段,对安全体系结发现阶段,对安全体系结构及安全基础设施设计文本的检查;构及安全基础设施设计文本的检查; 人工检查阶人工检查阶段,将文本描述的体系结构和设计与实际的结构进行段,将文本描述的体系结构和设计与实际的结构进行比较,找出差别;比较,找出差别; 漏洞测试阶段
101、,包括网络、平漏洞测试阶段,包括网络、平台和应用的漏洞测试,平台扫描,应用扫描;台和应用的漏洞测试,平台扫描,应用扫描; 监监控和报警;控和报警; 安全体系结构的处理过程。在此基础安全体系结构的处理过程。在此基础上得出风险分析文本以及经营业务影响分析。上得出风险分析文本以及经营业务影响分析。网络安全评估的目标是保证所有可能影响网络安全的网络安全评估的目标是保证所有可能影响网络安全的利用是关闭的。评估的过程包括了解网络的拓扑、获利用是关闭的。评估的过程包括了解网络的拓扑、获取公共访问机器的名字及其取公共访问机器的名字及其IP地址、对全部可达主机地址、对全部可达主机做端口扫描的处理。做端口扫描的处
102、理。根据计算机信息系统安全技术发展的要求,提出信息根据计算机信息系统安全技术发展的要求,提出信息系统安全保护等级划分和评估的基本准则。可信计算系统安全保护等级划分和评估的基本准则。可信计算机系统评估准则(机系统评估准则(TCSEC)是全世界第)是全世界第1个计算机系个计算机系统安全等级划分的基本准则,又称桔皮书。通用安全统安全等级划分的基本准则,又称桔皮书。通用安全评估准则(评估准则(CC)是由西方)是由西方6国国7方联合提出的作为评方联合提出的作为评估估IT产品与系统的基础的一个国际标准。计算机信息产品与系统的基础的一个国际标准。计算机信息系统安全保护等级划分准则系统安全保护等级划分准则GB
103、17859-1999是我国首是我国首次制定的为评价、开发、研究计算机及网络系统的安次制定的为评价、开发、研究计算机及网络系统的安全提供的指导准则。习题全提供的指导准则。习题20-1 什么是风险管理?简述风险评估的方法。什么是风险管理?简述风险评估的方法。20-2 安全成熟度模型的作用是什么?应从哪些方面安全成熟度模型的作用是什么?应从哪些方面来分析?来分析?20-3 弄清楚威胁的来源是减少威胁得逞可能性的关弄清楚威胁的来源是减少威胁得逞可能性的关键,哪些是主要的威胁源?键,哪些是主要的威胁源?20-4 什么是防止电子窃听的保护措施?什么是防止电子窃听的保护措施?20-5 什么是导致不安全的最常
104、见的软件缺陷?什么是导致不安全的最常见的软件缺陷?20-6 简述从安全成熟度模型简述从安全成熟度模型3个方面的安全评估阶段。个方面的安全评估阶段。习题习题20-7 简述网络安全评估的过程和方法。简述网络安全评估的过程和方法。20-8 可信计算机系统评估准则的适用范围是什么?可信计算机系统评估准则的适用范围是什么?20-9 计算机信息系统安全保护等级划分准则是一个计算机信息系统安全保护等级划分准则是一个强制性的国家标准,制定该标准的主要目的是什么?强制性的国家标准,制定该标准的主要目的是什么?安全等级是如何划分的?安全等级是如何划分的?20-10 通用安全评估准则通用安全评估准则CC是一个国际标准,是一个国际标准,CC由由哪几部分组成?其主要内容是什么?哪几部分组成?其主要内容是什么?
